ГлавнаяБаза уязвимостей БДУ → BDU:2020-04468
10критическая

BDU:2020-04468 (CVE-2020-11619)

Уязвимость компонента spring-aop библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-09-29
Описание

Уязвимость компонента spring-aop библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebCenter Portal (12.2.1.3.0)WebLogic Server (12.2.1.3.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)Jboss Fuse (7)Primavera Unifier (18.8)Retail Customer Management and Segmentation Foundation (18.0)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)OpenShift Application Runtimes (1.0)Retail Xstore Point of Service (19.0.0)JBoss Enterprise Application Platform Continuous DeliveryWebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Red Hat Descision Manager (7)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)WebCenter Portal (12.2.1.4.0)Oracle Agile PLM (9.3.6)Enterprise Manager Base Platform (13.4.0.0)Communications Instant Messaging Server (10.0.1.4.0)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2680

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2020-11619

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/issues/2680https://lists.debian.org/debian-lts-announce/2020/04/msg00012.htmlhttps://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://access.redhat.com/security/cve/cve-2020-11619https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023https://abf.rosa.ru/advisories/ROSA-SA-2025-2629http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена